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”Virussodankäynnin aikakautena ei ole tarvetta julistaa sotaa tai käynnistää laajoja 
perinteisiä sotaoperaatioita. Tämä mahdollistaa salatun sodankäynnin ja häiventää 
järjestäytyneen väkivallan rajoja — tehden sen helpommin hyväksytymmäksi” 


Venäjän maavoimien Eversti Sergei Modestov helmikuussa 1994 


Yhteenveto 


Tietokonevirukset ovat haitanneet tietojenkäsittelyä jo yli 15 vuoden ajan. Niiden 
aiheuttamat riskit on kuitenkin koettu varsin rajatuiksi ja niiden takaa löytyvät tahot 
mielletään yleensä aina koulupojiksi. Viruksia pystyttäisiin kuitenkin hyödyntämään 
sekä yritysten että valtioiden välisessä vakoilussa — ja hyökkäyksissä. 


Tämä raportti käsittelee tietokoneviruksia ilmiönä sekä erityisesti niiden vaikutusta 
kansakunnan turvallisuuteen. 


Tietokonevirukset — taustatietoja 


Tässä luvussa kerrotaan viruksista tarkemmin ja kuvataan yleisimmät virustyypit ja 


niiden toimintaperiaatteet. 


Tietokonevirukset ovat ohjelmia, jotka leviävät eteenpäin tiedostosta toiseen, 
tietokoneesta toiseen ja lopulta maasta toiseen. Leviämistekniikoita on monenlaisia. 
Leviämisen lisäksi virukset usein aktivoituvat joko visuaalisesti tai tehden jonkin 
tyyppistä tuhoa. Jokaisen viruksen takaa löytyy viruksen kirjoittaja; virus ei koskaan 
synny vahingossa. 


Virusten kirjoittaminen on laitonta suomessa. Myös useissa muissa maissa alkaa olla 
alaan liittyvää lainsäädäntöä. Suomessa tärkein alaa säätelevä laki astui voimaan 


joulukuussa 1999. 


Rikoslain 34 luku Yleisvaarallisista rikoksista, 9 a S 


Vaaran aiheuttaminen tietojenkäsittelylle 


Joka, aiheuttaakseen haittaa tietojenkäsittelylle tai tieto- tai telejärjestelmän 


toiminnalle, 


1) valmistaa tai asettaa saataville sellaisen tietokoneohjelman tai 
ohjelmakäskyjen sarjan, joka on suunniteltu vaarantamaan tietojenkäsittelyä 
tai tieto- tai telejärjestelmän toimintaa taikka vahingoittamaan sellaisen 
järjestelmän — sisältämiä tietoja tai ohjelmistoja, tai levittää sellaista 
tietokoneohjelmaa tai ohjelmakäskyjen sarjaa taikka 


2) asettaa saataville ohjeen 1 kohdassa tarkoitetun tietokoneohjelman tai 
ohjelmakäskyjen sarjan valmistamiseen tai levittää sellaista ohjetta, on 
tuomittava, jollei teosta muualla laissa säädetä ankarampaa tai yhtä ankaraa 
rangaistusta, vaaran aiheuttamisesta €tietojenkäsittelylle "sakkoon (= tai 
vankeuteen enintään kahdeksi vuodeksi. 





Virusten riskit 


Toisin kuin useimmat tietoturvariskit, virukset ovat vaarallisia, vaikka tiedot 
varmuuskopioitaisiin säännöllisesti. Säännöllinen varmuuskopiointi pienentää 
täystuhon vaaraa, mutta varmuuskopiointi yksin ei riitä, koska virukset voivat 


saastuttaa myös varmuuskopiot. 


Jos virussuojaus on puutteellinen, tehokkaasti suunniteltu virus voi levitä 
huomaamatta tietokoneesta toiseen. Mikäli virukselle annetaan tarpeeksi aikaa, se 
voi levitä kaikkiin organisaation tietokoneisiin ja tartuttaa jopa varmuuskopiot. Virus 
voi tuhota tietoja vähän kerrallaan. Taitava virusten suunnittelija voi laatia viruksen 
niin, että sen tuhoja ei havaita kuin vasta pitkän ajan kuluttua itse virustartunnasta. 
Vähäiset tietovirheet tulkitaan usein inhimillisiksi virheiksi tai käsittelyvirheiksi. 
Tällainen vähän kerrallaan tietoja tuhoava virus on usein kaikkein vaarallisin, koska 
virus on yleensä ehtinyt levitä jo varmuuskopioihin, kun se havaitaan. 


Virus ei yleensä aktivoidu, ennen kuin se on levinnyt useaan tietokoneeseen. 
Virusten aiheuttamat vahinoot vaihtelevat lievästä mielipahasta tietojen täydelliseen 
katoamiseen. Vaarallisen viruksen aiheuttamat tuhot voivat häiritä yrityksen toimintaa 
todella vakavasti. Kukaan ei esimerkiksi halua välittää virusta liikekumppanilleen tai 
asiakkaalleen, vaikka virus olisikin harmiton. 


Kaikkein hankalimpia ongelmia aiheuttavat virukset, jotka eivät tuhoa eivätkä 
muokkaa käyttäjän tietoja, vaan sen sijaan lähettävät niitä koneesta pois 
tietoverkkoja pitkin. Esimerkiksi SirCam-virus kerää käyttäjän kiintolevyltä ja yrityksen 
lähiverkosta dokumentteja ja lähettää niitä satunnaisiin sähköpostiosoitteisiin, 
muiden verkkokäyttäjien naureskeltavaksi ja tutkittavaksi. 


Tavallisimmat virustyypit 


Seuraavassa kuvataan tavallisimmat virustyypit ja niiden toimintaperiaatteet. 


Makrovirukset 


Makrovirukset on kirjoitettu jonkin sovelluksen, tavallisesti Microsoft Wordin tai 
Excelin makro-ohjelmointikielellä. 


Makrovirukset leviävät, kun tartunnan saanut asiakirja avataan tai uusi asiakirja 
tallennetaan. Makrovirukset ovat ongelmallisia, koska ihmiset välittävät asiakirjoja 
toisilleen paljon useammin kuin ohjelmatiedostoja ja levykkeitä. Makrovirusten 


luominen ja muokkaaminen on myös pelottavan helppoa. 


Ensimmäiset Microsoft Wordin tartuttaneet makrovirukset havaittiin elokuussa 1995. 
Wordin makrovirukset ovat yleisimmin esiintyvä virustyyppi. Vaikka muut 
tekstinkäsittelyohjelmat (esimerkiksi WordPerfect ja Word Pro) voivat käsitellä Wordin 
asiakirjoja, Wordin virukset eivät tartuta niitä. 


Parhaiten tunnetut makrovirukset ovat Concept (Word), Laroux (Excel) ja Melissa 
(Word, ensimmäinen sähköpostimato). 


Skriptivirukset 


Komentosarja- eli skritpivirukset muistuttavat makroviruksia. Komentosarjavirukset 
eivät kuitenkaan tarvitse levitäkseen sovellusta, koska ne on kirjoitettu 
käyttöjärjestelmään sisältyvällä komentosarjakielellä. Windows 98:aan, Windows 
Me:hen, Windows 2000:een ja Windows XP:hen sisältyy VBS (Visual Basic Script) - 
komentosarjakieli, joka muistuttaa Office-sovelluksien käyttämää VBA-kieltä. 


VBS-kielellä kirjoitetut virukset leviävät tavallisesti matojen tapaan — esimerkiksi 
lähettämällä itsensä lukuisille vastaanottajille sähköpostiviestin liitetiedostona. 


Tunnetuin skriptivirus on Loveletter, joka on samalla edelleen maailman laajimmin 


levinnyt virus (noin 15 miljoona saastunutta tietokonetta). 


Tiedostovirukset 


Tiedostovirukset tartuttavat tavallisesti ohjelmatiedostoja (yleisimmin .exe-tiedostoja), 
mutta periaatteessa mikä tahansa ohjelmakoodia sisältävä tiedosto voi olla tartunnan 
kohteena. 


Tiedostovirus etsii sopivan isäntäohjelman, jonka ohjelmatiedostoon se lisää oman 


koodinsa. Varmistaakseen käynnistymisensä samalla, kun isäntäohjelma 


käynnistetään, virus lisää isäntäohjelman alkuun aktivointikoodin. Tämä koodi siirtää 


hallinnan viruksen koodille. 


Kun virus tartuttaa ohjelman, ohjelmatiedoston koko kasvaa. Osa viruksista pyrkii 
välttämään tätä tallentamalla itsensä isäntätiedoston käyttämättömiin osiin. Tällöin 


tartunnan saaneen ohjelmatiedoston koko ei muutu. 


Tunnettuja tiedostoviruksia ovat esimerkiksi Hybris ja Matrix. 


Käynnistyssektorivirukset 


Jokaisessa alustetussa levykkeessä on käynnistyssektori. Kaikkien levykkeiden 
käynnistyssektorissa on koodia, vaikka levykkeelle ei olisi vielä tallennettu mitään. 
Kun tietokone käynnistetään levykkeeltä, suoritetaan samalla käynnistyssektorin 
koodi. 


Käynnistyslohkovirukset leviävät tämän koodin kautta. Koska levykkeiden käyttö 
vähenee koko ajan, ovat myös käynnistyslohkovirukset nopeasti kuolemassa 


sukupuuttoon. 


Paras suoja käynnistyssektoriviruksia vastaan on välttää tietokoneen käynnistämistä 
levykkeeltä. Tietokoneen ensisijaisen käynnistysaseman voi tavallisesti määrittää 
BIOS-asetuksista. Vanhoissa tietokoneissa tätä vaihtoehtoa ei tosin ehkä ole. 


Käynnistyssektorivirukset voivat tartuttaa mitä tahansa käyttöjärjestelmää (DOS, 
Windows, NT, Linux, NetWare ja niin edelleen) käyttävän PC:n. Jos tartunnan 
saaneen PC:n käyttöjärjestelmä ei ole DOS-pohjainen, tietokone ei tyypillisesti 
käynnisty lainkaan. 


Tunnettuja käynnistyslohkoviruksia olivat Brain (ensimmäinen PC-virus), Form ja 
Stoned. 


Takaporttiohjelmat 


Takaportti- eli backdoor-ohjelmilla tarkoitetaan Windows-pohjaisia ohjelmia, joiden 
avulla ulkopuolinen hyökkääjä pääsee verkon yli etäkäyttämään kohdekonetta. 
Takaportti on yleensä piilotettu pelin, pilaohjelman tai muun vastaavan sisään. 
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Takaporttiohjelman avulla hyökkääjä, joka saattaa olla toisella puolella maailmaa, 
pääsee kiinni käyttäjän tiedostoihin kuin hän olisi fyysisesti koneen näppäimistön 
äärellä. Eräillä takaporttituotteilla hän saattaa jopa kytkeä tietokoneen mikrofonin 
päälle ja kuunnella reaaliaikaisesti mitä kohdekoneen lähettyvillä puhutaan. 


Virustorjuntaohjelmistot torjuvat myös yleisimpiä takaporttiohjelmia. Tunnettuja 
takaporttiohjelmia ovat esimerkiksi Netbus ja Back Orifice. 


Uuden vuosituhannen virukset 


Virusmaailma on selkeästi muuttumassa. Käytännössä kaikki uudet virukset pyrkivät 
hyödyntämään internetiä leviämisessään ja monet virukset pyrkivät hyödyntämään 
perinteisiä hakkerointimenetelmiä, kuten ohjelmien tunnettuja turvaukkoja. 


Vuoden 2001 aikana viruksia löydettiin keskimäärin viisi päivässä, ja vuoden loppuun 
mennessä niiden yhteismäärä oli 59 000. 
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Virusten määrä on kasvanut nopeasti viimeisen 15 vuoden aikana 


Yksi tärkeimmistä uusista virustapauksista oli heinäkuussa 2001 havaittu Code Red — 
mato. Code Red oli mullistava monella tavalla: kyseessä oli ensimmäinen web-mato, 
joka hyppi www-palvelimelta toiselle; kyseessä oli ensimmäinen virus joka toimi vain 
muistiprosessina eikä muuttanut mitään tietoja koneen kiintolevyllä; ja lisäksi Code 


Red toimi hajautetun palvelun esto -hyökkäyksen (DD0oS) välineenä. 


DDoS-hyökkäyksellä tarkoitetaan tekniikkaa jossa ruuhkautetaan hyökkäyksen 
kohteena oleva kone. Ylikuorma luodaan käyttämällä suurta määrää eri puolilla 


verkkoa olevia orjakoneita. Code Red levisi muutamassa päivässä yli 300 tuhanteen 
www-palvelimeen, jotka aloittivat samalla kellonlyömällä (20.7.2001, klo 02 Suomen 
aikaa) hyökkäyksen yhtä konetta vastaan. Tämä kone oli Yhdysvaltain Valkoisen 
Talon www-palvelin, www.whitehouse.gov. 


Hyökkäys kuitenkin epäonnistui, koska virustutkijat olivat purkaneet madon koodin 
paria päivää aiemmin. Valkoisen Talon ylläpitäjiä ehdittiin varoittaa ja vaihtoivat 
palvelimensa verkko-osoitetta vain muutamia tunteja ennen hyökkäyksen alkua, 
väistäen koko hyökkäyksen. 


Mitään muuta tapaa välttää palvelimen tipahtaminen verkosta ei olisi ollut. Yli 300 
tuhannen koneen yhtäaikainen hyökkäys on niin tehokas, että sillä olisi voitu kaataa 
paljon enemmänkin koneita. Suomessa oli syyskuussa 2001 rekisteröity 31964 
domain-osoitetta [Ficora]. Code Redin hyökkäysvoimalla olisi varmastikin kaataa 


jokainen suomalainen www-palvelin — ja pitää alhaalla varsin pitkiä aikoja. 





Code Red-tilanne 19.11.2001 klo 01:00 GMT: 628 saastunutta konetta 





Tilanne klo 10:00: 4197 saastunutta konetta 





Tilanne klo 23:55: 340628 saastunutta konetta 


Luultavasti tuhoiltaan pahamaineisin viime aikojen viruksista oli sähköpostimato 
Nimda; ensimmäinen Internetvirus, joka otti hallintaansa web-sivustoja levitäkseen. 
Leviten neljällä eri tavalla Nimda saastutti 2,5 miljoonaa tietokonetta, tukkien 
suuriakin lähiverkkoja aiheuttamansa suuren verkkokuorman takia. 








Image Copyright &) F-Secure 
Nimda-virus levisi neljällä eri tavalla 


Nimda on luultavasti työryhmän kirjoittama. Tällaisen madon kehittämiseen ja 
testaamiseen tarvitaan testauslaboratorio, lähiverkko, palvelimia ja reitittimiä. 
Viruksen kehittämisen ajallinen ja rahallinen panostus herättää aiheellisen 
kysymyksen viruksen kirjoittajien motiiveista. Yksi vaihtoehto on, että kyseessä oli 
testi, jossa kokeiltiin eri tekniikoiden toimivuutta myöhemmin toteutettavaa iskua 


varten. 


On syytä korostaa että yksi tärkeä syy virusten nopealle leviämiselle on 
homogeeninen tietokoneympäristö. Kaikki koneet ovat nykyään enemmän tai 
vähemmän samanlaisia: Pentium-tietokoneita, joiden käyttöjärjestelmä on 32-bittinen 
Windows, joista löytyy Word ja Excel, joiden sähköpostiohjelma on Outlook ja www- 
selain on Internet Explorer. Luultavasti yli puolet maailman tietokoneista mahtuu 
näiden ehtojen sisään. 


Aivan kuten biologisetkin virukset leviävät parhaiten homogeenisissä yhteisöissä, 
myös tietokoneviruksille tällainen ympäristö on edullinen. Niinpä valtavirrasta 
poikkeava käyttäjä on paremmin turvassa. Tässä suhteessa Netscape on 
turvallisempi kuin IE. Eudora tai Notes päihittää Outlookin. Linux voittaa Windowsin. 


Kuvaavaa on, että Yhdysvaltalainen vakoilija Robert Philip Hanssen käytti 
suomalaisperäistä Linux-käyttöjärjestelmää omissa kotitietokoneissaan, ilmeisesti 
nimenomaan turvallisuussyistä [Sperry]. Hanssen työskenteli yli 15 vuoden ajan 
Yhdysvaltojen liittovaltion poliisissa FBI:ssä, vakoillen sekä Venäjän 
ulkomaantiedustelun SVR:n (Sluzhba Vneshney Razvedki) että Venäjän 
sotilastiedustelun GRU:n (Glavnoe Razvedyvatelnoe Upravlenie) hyväksi. Hanssenin 
jääminen kiinni oli vuoden 2001 suurin vakoilutapaus. 


LIITE 1: EkoTerror -viruksen viruskuvaus (1992) 

Nimi: EkoTerror 

Tekomaa: Suomi 

Tyyppi: Käynnistyslohkot, COM-tiedostot 

Tämä virus löydettiin 16.6.1992 Tammisaaresta. Löydetty näyte sisälsi useita 
ohjelmointivirheitä, mutta myös melko edistyksellisiä rutiineja. Virus sisältää muun 


muassa piilovirusominaisuuksia ja ansoja debug-ohjelmille. 


Saattaa olla, että kyseessä on vielä testausvaiheessa ollut virus, joka on päässyt 
karkaamaan ohjelmoijaltaan. 


EkoTerror asettaa useita ehtoja leviämiselleen, joten se tarttuu melko hitaasti. Virus 
saastuttaa COM-tiedostoja ja kiintolevyjen pääkäynnistyslohkoja (MBR). Virus 
saattaa saastuttaa COM-tiedostot useaan kertaan. 


Virus korvaa omalla koodillaan alkuperäisen pääkäynnistyslohkon ja osiotaulukon, 
jotka se siirtää sektorille 5. 


Viruskoodissa olleen virheen takia useimmat tietokoneet eivät käynnisty enää 
pääkäynnistyslohkon saastumisen jälkeen. 
Virus sisältää tekstin: 


Copyright (C) 1984 BORLAND Inc 


Tämä viittaisi siihen, että viruksen kirjoittamiseen olisi kenties käytetty jotain 
Borlandin kääntäjää. 


Virus aktivoituu vaihtelevina päivämäärinä. Tällöin seuraava viesti ilmestyy näytölle 
heti koneen käynnistyksen jälkeen: 


EkoTerror <C) 1991 ATK-toimisto P.Linkola Oy 


Kovalevysi on poistettu käytöstä luonnonsuojelun nimessä. 


Uihreässä yhteiskunnassa ei saa olla ydinsähköllä toimivia kovalevyjä. 





Viesti jää näytölle ja virus ylikirjoittaa kiintolevyn aloituslohkot eli käytännössä tuhoaa 
kaikki tiedot levyltä. Tuhon jälkeen virus aiheuttaa ikuisen silmukan, mikä pysäyttää 


koneen toiminnan. 


LIITE 2: Finnish Sprayer -viruksen viruskuvaus (1993) 
Nimi: Finnish Sprayer 

Alias: Aiti, Äiti 

Tekomaa: Suomi 

Tyyppi: Käynnistyslohkot, muistinvarainen, piilovirus 


Virus löydettiin ensimmäisen kerran Vantaalaisesta oppilaitoksesta marraskuun 


alussa 1993. Viruksesta saatiin näyte tutkittavaksi kuitenkin vasta joulukuussa. 


Finnish Sprayer -virusta on sittemmin löydetty useista eri kohteista, ja se on levinnyt 
useisiin eri yrityksiin. 


Joulukuun 1993 ja tammikuun 1994 välisenä aikana virusta löydettiin Suomesta 
runsaasti: yli 20 tilastoitua löytöä Helsingistä, Vantaalta, Espoosta, Tikkurilasta, 
Keravalta ja Lahdesta. Tämän jälkeen virusta on löydetty lisäksi Riihimäeltä, 
Tampereelta, Mäntsälästä, Rajamäeltä ja Turusta. 


25.3.1994 Finnish Sprayer tuhosi satoja koneita Suomessa. Vuonna 1995 tuhoja tuli 


parisen kymmentä, vuonna 1996 kourallinen. 


Virus tunnetaan nimillä Finnish Sprayer sekä Äiti. Finnish Sprayer sisältää koodinsa 
seassa tekstin "Aiti". Lisäksi viruksen lopussa on seuraava teksti: "Tks to B.B, Z-VirX 
e [Aija]". Aiti- ja Äiti -nimet ovat harhaanjohtavia, koska "Aiti"-tekstit ovat osa 


viruksen koodia, ja ovat mukana ilmeisesti sattumalta. 


Virus leviää koneesta toiseen ainoastaan levykkeiden välityksellä. Se tartuttaa 
levykkeiden käynnistyslohkoja ja kiintolevyjen pääkäynnistyslohkoja. Virus leviää 
levykkeiltä kiintolevyille vain silloin, kun konetta yritetään käynnistää saastuneelta 
levykkeeltä. Käynnistysyrityksen ei siis tarvitse olla onnistunut, jotta virus saastuttaisi 
kiintolevyn. Päästyään kiintolevylle virus saastuttaa käytännöllisesti katsoen kaikki 
koneessa käytetyt levykkeet. 


Virus aktivoituu, kun kone käynnistetään 25. päivä maaliskuuta minä vuonna tahansa 
(Aijan päivänä). Tällöin se ylikirjoittaa osan kiintolevyn ensimmäisen osion (yleensä 
C-levy) tiedoista satunnaisella datalla, minkä jälkeen virus tyhjentää näytön, vaihtaa 
sen taustan harmaaksi ja tulostaa näytön keskelle mustan tekstin 

"FINNISH SPRAYER.1. Send your painting +358-0-xxxxxxx (FAX), [Aija]". Tämä 
teksti ei ole suoraan viruksen koodista nähtävissä, koska se on salakirjoitettu XOR 
50h -toiminnolla. Annettu puhelinnumero on Eduskunnan tiedotustoimiston 


faksinumero. 





Finnish Sprayer ei tartu PC-koneen kiintolevylle, jos sen käynnistysosio ei ole DOS- 
levy. Näin PC:t, joissa on esimerkiksi OS/2-, Windows NT- tai UNIX- 
käyttöjärjestelmä, eivät saa tartuntaa. Myöskään DR DOSin salasanasuojauksella 


varustettu kiintolevy ei saa tartuntaa. 


Virus siirtää alkuperäisen käynnistyslohkon ja osan koodistaan saastuneen levyn 
kahdelle viimeiselle sektorille. Jos näillä sektoreilla on ennestään dataa, se 
ylikirjoitetaan. Ollessaan aktiivisena virus suojelee omaa koodiaan, käyttäen 
piilovirustekniikkaa. Tämän takia viruksen tekemät muutokset levyllä eivät ole 
nähtävissä. Virusta ei siis voida etsiä levyltä, mikäli se on muistissa, joten koneiden 
virustarkastus on pakko tehdä puhtaan levykekäynnistyksen jälkeen. 


Data Fellowsin virustorjuntaohjelmat löytävät muistissa olevan Finnish Sprayerin ja 
kehottavat käynnistämään koneen puhtaalta levykkeeltä. 


Finnish Sprayer vähentää käytettävissä olevan DOS-muistin määrää viidellä 
kilotavulla. Tämä on nähtävissä MEM- ja CHKDSK-komennoilla. Lisäksi Finnish 
Sprayer hidastaa levykeasemien toimintaa hieman. Viruksen läsnäolo on 
huomattavissa myös siitä, että Windows ilmoittaa käynnistymisensä yhteydessä, ettei 
se voi käyttää 32-bittistä levyosoitusta. Tämä ilmoitus kavaltaa myös useat muut 
käynnistyslohkovirukset. 


Finnish Sprayer sisältää ohjelmointivirheitä, joiden takia se joissain tapauksissa estää 
koneen käynnistymisen kiintolevyltä kokonaan. Samoista virheistä johtuen virus 
silloin tällöin sijoittaa alkuperäisen käynnistyslohkon satunnaiseen paikkaan 
kiintolevyllä. Tästä johtuen viruksen automaattinen poisto kiintolevyltä ei ole 
mahdollista, ja Data Fellowsin virustorjuntaohjelmat poistavat viruksen kiintolevyltä 
ylikirjoittamalla pääkäynnistyslohkon puhtaalla koodilla. 


Finnish Sprayer voidaan poistaa kiintolevyltä myös ilman torjuntaohjelmaa: 
kylmäkäynnistä kone puhtaalta MS-DOS 5 tai 6 levykkeeltä, jolla on FDISK-ohjelma. 
Koneen käynnistyttyä tarkistetaan DIR-komennolla, että kiintolevyn kaikki osiot ovat 
nähtävissä. Jos DIR-komento tuottaa virheilmoituksen (invalid drive specification tai 
vastaava), puhdistusta ei tule suorittaa FDISK-komennolla. Jos kiintolevy on 
nähtävissä, komento FDISK /MBR ylikirjoittaa viruksen koodiosuuden, ja kone 


voidaan käynnistää normaalisti uudelleen. 


Liite 3: Suomessa kirjoitetut tietokonevirukset 
Bait 

Budo 
Cantando 
Cinderella 
Cinderella I| 
Crew 
EkoTerror 
Finnish Sprayer 
Finnish 
Finnpoly 

IOE 

Jihuu 

Relfzu 

Riihi 

School Suck 
Slugger 


Suomi 
Yesterday 
Zed 


Liite 4: Yleisohjeita sähköpostivirusten välttämiseksi 


1. Useimmat sähköpostin kautta leviävät madot käyttävät apuna Microsoft 
Outlook- tai Outlook Express -ohjelmaa. Jos käytössäsi on Outlook, hae 
Microsoftin sivuilta uusin Outlookin turvapäivitys ja asenna se. Yleisohje on, 
että käyttöjärjestelmä ja sovellukset kannattaa pitää mahdollisimman hyvin 
ajan tasalla asentamalla uusimmat korjauspäivitykset aina sitä mukaa kuin ne 
tulevat saataville. Turvallisinta on hakea nämä päivitykset suoraan ohjelman 


toimittajalta. 


2. Vältä mahdollisuuksien mukaan sähköpostin liitteitä sekä postin lähetyksessä 
että vastaanotossa. 


3. Määritä Windowsin asetukset niin, että tiedostotunnisteet tulevat aina näkyviin. 
Windows 2000:ssa tämä tehdään Resurssienhallinnan Työkalut-valikosta: 
Valitse ensin Työkalut/Kansion asetukset/Näytä ja poista sitten valintamerkki 
kohdasta " Älä näytä oikein rekisteröityjen tiedostojen tiedostotunnistetta". 
Näin vahingollisten tiedostojen (kuten EXE tai VBS) naamioiminen 
harmittomiksi tiedostoiksi (esimerkiksi TXT tai JPG) on vaikeampaa. 


4. Älä avaa sellaisia tiedostoliitteitä, joiden tunnisteena on VBS, SHS tai PIF. 
Tällaisia tiedostoja ei yleensä koskaan käytetä normaaleina liitteinä, mutta 
virukset ja madot hyödyntävät niitä usein. 


5. Älä avaa liitteitä, joissa on kaksi tiedostotunnistetta, kuten NIMI.BMP.EXE tai 
NIMI.TXT.VBS 


6. Älä jaa kansioita muiden käyttäjien kanssa, ellei se ole aivan välttämätöntä. 
Jos jakaminen on tarpeen, varmista, ettet jaa koko kiintolevyä etkä Windows- 
hakemistoa. 


7. Irrota verkko- tai modeemikaapeli, kun et käytä tietokonetta. Voit myös 
sammuttaa koneen. 


8. Jos sinusta tuntuu, että tutulta lähettäjältä tulevassa viestissä on jotain outoa, 
eli se on esimerkiksi väärällä kielellä tai siinä sanotaan jotain kummallista, 
varmista lähettäjältä, että hän on sen todella lähettänyt, ennen kuin avaat 
mahdolliset liitteet. 


9. Kun saat sähköpostimainoksia tai muuta tunnistamatonta sähköpostia, älä 


avaa niissä olevia liitteitä äläkä seuraa niissä olevia linkkejä. 


10. Vältä liitteitä, joissa on seksiin viittaavia tiedostonimiä. Sähköpostimadoissa 
käytetään usein sellaisia nimiä, kuten PORNO.EXE tai PAMELA NUDE.VBS, 
joilla houkutellaan käyttäjät käynnistämään tiedostot. 


11.Älä luota liitetiedostojen kuvakkeisiin. Madot lähettävät usein suoritettavia 
tiedostoja, joiden kuvakkeet muistuttavat hämäävästi kuva-, teksti- tai 
arkistotiedostojen tunnuksia. Näin yritetään huijata käyttäjä avaamaan 
turvalliselta näyttävä tiedosto. 


12.Älä ota vastaan tuntemattomien henkilöiden tarjoamia liitteitä internetin 
keskustelujärjestelmissä, kuten IRC-, ICO- tai AOL Instant Messenger - 
keskusteluissa. 


13. Vältä tiedostojen hakua julkisista keskusteluryhmistä (Usenet news). Virusten 
kirjoittajat käyttävät niitä usein uusien virusten levittämiseen. 
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